- DNS stellt für ADS den Namensraum bereit (AD verwendet DNS Namensraum,
DNS stellt Service Einträge bereit, Namensauflösung)
- ADS benötigt DNS
- AD kann mit DNS BIND (Berkley Internet Name Domain) Servern (z.B. UNIX)
zusammenarbeiten
- Beachten: - BIND 8.2.1 aufwärts empfohlen
o Feature W2K 8.2.1 4.9.7
o SRV-Einträge x x x
o Dyn. Akt. x x -
o „Nur gesichert“ x - -
o IXFR x x -
o UTF 8 Zeichen x - -
o Neg. Caching x x -
DNS Benennungsstrategie:
- eindeutigen, aussagekräftigen, erweiterbaren, unveränderlichen Namen
für die ADS Stammdomäne verwenden (z.B. übergeordneter Firmenname)
- Registrierung im Internet (ICANN)
- Umbenennung der ADS Stammdomäne nicht möglich
- Einhalten der DNS Standardnamenskonvention
- evt. vorhandenen DNS Namensraum weiterverwenden
Implementierungsstrategien:
- Internet DNS Zone (extern) ist durch Firewall von einer delegierten DNS
Zone (intern) getrennt. ADS Stammdomäne verwendet interne DNS Zone.
o Durchgehender Namensraum
o Längere Namen
o DNS Server für delegierte Zone nötig
o Externer DNS Server (falls bereits vorhanden) muss nicht
aktualisiert werden
o AD Daten von öffentlich zugänglichen Daten getrennt
- Internet DNS Zone (extern) ist durch Firewall von einer gleichnamigen
DNS Zone (intern) getrennt. ADS Stammdomäne verwendet interne DNS Zone.
o Benutzer verwenden nur einen Namen
o Nur ein registrierter Name
o Firewallkonfiguration ist komplexer
o Synchronisierung
o Mehr Verwaltungsaufwand
- Internet DNS Zone (extern) ist durch Firewall von einer andersnamigen
DNS Zone (intern) getrennt. ADS Stammdomäne verwendet interne DNS Zone.
o Mehr Sicherheit
o Strikte Trennung öffentlicher und interner Ressourcen
o Vorhandene DNS Infrastruktur (Server, Zonen) kann weiter
verwendet werden.
o In interner Zone evt. Aktualisierung des DNS Servers nötig
o Verwirrung der Benutzer möglich
Verwaltungsdelegierung:
[auf der Ebene von (Standorten), Domänen, Organisationseinheiten
(bevorzugt)]
Delegierung ist möglich auf:
- Container (empf.)
- bestimmte Objekttypen (innerhalb eines Containers) (empf.)
- Eigenschaften eines Objektes (vermeiden)
- Attribute eines Objektes (vermeiden)
à Objektverwaltungsassistent auf OU Ebene
Rechte über Gruppenmitgliedschaften (MS-Gruppenstrategie, vordefinierte
Gruppen)
Nicht mehr Rechte als nötig vergeben.
Verwaltungmodelle:
- zentrale IT-Organisation (eine Person oder Gruppe ist für das gesamte
Unternehmen zuständig)
- zentrale IT-Organisation mit dezentralisierter Verwaltung (eine Person
oder Gruppe ist für die Unternehmensplanung zuständig, aber alltägliche
Aufgaben werden delegiert)
- dezentralisierte IT-Organisation (unabhängig arbeitende
Personen/Gruppen, die für übergreifende Aufgaben temporär
zusammenarbeiten)
- ausgelagerte IT-Organisation (Teile oder der gesamte IT Bereich werden
von einer Fremdfirma verwaltet)
à Hilfsaufgaben (z.B. Kennwörter zurücksetzen) können
in allen Modellen delegiert werden
Lösungsansätze:
- Standortbasiert:
o Leicht Erweiter- bzw. Veränderbar
o Kann die physische Struktur des Netzes darstellen
(WAN-Replikation!)
o Evt. Probleme bei der Sicherheitskonfiguration (keine
Differenzierung)
- Organisationsbasiert
o Leicht Erweiterbar
o Änderungen können Modifikationen erfordern
o Kann die Geschäftsstruktur abbilden
o Leichte Sicherheitskonfiguration
o Keine Berücksichtigung der physischen Struktur
- Funktionsbasiert
o Leicht Erweiter- bzw. Veränderbar
o Leichte Sicherheitskonfiguration
o Keine Berücksichtigung der physischen Struktur
o Evt. tiefere OU Verschachtelung => komplex bei größeren
Unternehmen
- Erst Standort, dann Organisation
o Kann die physische Struktur des Netzes darstellen
(WAN-Replikation!)
o Leichte Sicherheitskonfiguration
o Leicht Erweiterbar
o Bei Änderungen der Firmenstruktur können Änderungen der
unteren OU Ebenen erforderlich werden
- Erst Organisation, dann Standort
o Leichte Sicherheitskonfiguration
o Keine Berücksichtigung der physischen Struktur
o Standortbasierte Verwaltung
Planen von Schemaänderungen:
Gründe für Schemaänderungen:
- Unternehmensanforderung erzwingt neue Objektklasse oder eine vorhandene
Objektklasse weitere Attribute
- Installation einer verzeichnisfähigen Anwendung, die eine
Schemaänderung erfordert (z.B. Exchange 2000)
Durchführung von Schemaänderungen:
- manuell: AD-Schema Snap-In
- automatisch: per Skript
- Installation einer verzeichnisfähigen Anwendung (evt. Aufteilung in 2
Phasen:
a) Schemaänderung, b) Installation der Software)
Auswirkungen von Schemaänderungen:
- ungültige Objekte (z.B. falls ein Objekt ein nicht für seine Klasse
definiertes Attribut enthält)
- Replikationsverzögerungen (Objekt wird vor Schema repliziert)
- Netzwerkverkehr (z.B. weiteres Attribut für globalen Katalog
=> vollständige Neuerstellung)
=> die Möglichkeit für Schemaänderungen sollte eingeschränkt werden!
=> da nur Schema Admins diese Änderungen durchführen dürfen,
sollte die Mitgliedschaft überwacht/eingeschränkt werden.
Infos zum Schema:
- Objektklassen Attribute (Attributwerte)
- Objektklassen setzen sich aus Attributen zusammen (verbindlich, optional)
- Objektklassen und Attribute werden nicht gelöscht sondern deaktiviert
- Standardschemaobjekte können nicht deaktiviert werden
Gruppenrichtlinienstrategie:
Einsatz:
- durchsetzen von Sicherheitseinstellungen
- vereinheitlichen und optimieren (vorkonfigurieren) der Arbeitsumgebung
von Benutzern und Rechnern (Software, Destop, Einschränkungen, usw.)
Verknüpfungsebenen:
- lokal
- Standort (Org. Admin, da evt. Domänenübergreifend)
- Domäne (Vererbung nicht Domänenübergreifend)
- OUs
à Kennwortrichtlinien können nur auf Domänenebene (sinnvoll)
zugewiesen werden.
Techniken:
- Verknüpfen (zwischen Domänen vermeiden)
- Vererbung
- blockieren der Vererbung (vermeiden)
- Kein Vorrang (minimieren (1x))
- filtern mit Gruppen (vemeiden - besser zusätzliche OUs erstellen)
- deaktivieren (empf. für ungenutzte Teile (Benutzer/Computer))
- Anzahl der GPOs einschränken
GPO Delegierung:
- erstellen
o Grenze: Domäne
o GPO Ersteller/Besitzer
o Dom Admins
- bearbeiten bestimmter GPOs
o Grenze: GPO
o Recht: +schreiben
- verknüpfen:
o Grenze: OU, Domäne
o Rechte: gpoption, gplink oder Objektverwaltungsassistent
Spezielle GPO Einstellungen zur Optimierung:
- Loopbackmodus
- Langsame Verbindungen
o Keine Auswirkung auf Sicherheitseinstellungen, adm. Vorlagen
o Kann konfiguriert werden für z.B.
à Softwareinst.
à Offline Ordner Synchronisation
à Ordnerumleitung
- GPO Aktualisierungsintervalle
- Abarbeitung: sychron/asynchron Planung einer Domäne:
Namensfestlegung: (Stamm-Domänenname nicht änderbar,
weitergabe des Namens in der Struktur)
Gruppen:
Benutzer à Globale Gruppe à
(universal Gruppe) à lokale Domänengruppe ß
Rechte
Universal Gruppe:
- nur einheitlicher Modus
- Replikationsverkehr zum globalen Katalog
o möglichst nur Gruppen als Mitglieder
o statische Mitgliedschaften
Aufbau der OU-Struktur:
- nicht zu tief verschachteln
- obere OU Ebenen sollte statisch gewählt werden
- wiedergabe der IT Verwaltungsstruktur
o ermöglicht Delegierung von Aufgaben
o insbesondere in den oberen Ebenen
- einrichten von Gruppenrichtlinien
o typischerweise in den unteren Ebenen
- erweiterbar gestalten
Planen von Gesamtstrukturen:
Gründe für die Verwendung einer Einzeldomäne:
- einfache Verwaltung
- einfachere Rechtedelegierung (OU)
- hohe Objektanzahl möglich (im Gegensatz zu NT4)
Gründe für die Verwendung mehrerer Domänen:
- Unterschiedliche Richtlinien auf Domänenebene (Kennwortrichtlinie)